对入侵检测系统的几种分类

来源 :考试周刊 | 被引量 : 0次 | 上传用户:yaoyaoyy1188
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  摘 要: 入侵检测系统作为重要的网络安全工具,它可以对系统或网络资源进行实时检测,及时发现闯入系统或网络的入侵者,也可预防合法用户对资源的误操作。
  关键词: 入侵检测系统 分类
  
  入侵检测系统(IDS,Intrusion Detection System)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的有效补充,入侵检测技术能够帮助系统应付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。本文就其几个角度的分类加以简单研究。
  一、按数据来源进行分类
  1.基于主机的入侵检测系统
  该系统通常是安装在被重点检测的主机上,其数据源来自主机,如日志文件、审计记录等。该系统通过监视与分析主机中的上述文件,就能够检测到入侵。能否及时采集到上述文件是这些系统的关键点之一。因为入侵者会将主机的审计子系统作为攻击目标以避开IDS。
  2.基于网络的入侵检测系统
  此系统使用原始网络包作为数据源。通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务。它的攻击辩识模块通常使用四种常用技术来识别攻击标志:模式、表达式或字节匹配,频率或穿越阀值,次要事件的相关性,统计学意义上的非常规现象检测。一旦检测到了攻击行为,响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。反应因产品而异,但通常都包括通知管理员、中断连接或为法庭分析和证据收集而作的会话记录。
  基于网络的IDS有许多仅靠基于主机的入侵检测法无法提供的功能。实际上,许多客户在最初使用IDS时,都配置了基于网络的入侵检测。
  二、根据检测原理进行分类
  传统观点根据入侵行为的属性将其分为异常和滥用两种,然后分别对其建立异常检测模型和滥用检测模型。近年来又涌现出一些新的检测方法,它们产生的模型对异常和滥用都适用。
  1.统计分析与异常检测
  统计分析最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。
  异常检测只能识别出那些与正常过程有较大偏差的行为,而无法知道具体的入侵情况。由于对各种网络环境的适应性不强,且缺乏精确的判定准则,异常检测经常会出现虚警情况。异常检测可以通过以下系统实现。
  (1)自学习系统:通过学习事例构建正常行为模型,分为时序和非时序两种。
  (2)编程系统:该类系统需要通过编程学习如何检测确定的异常事件,从而让用户知道什么样的异常行为足以破坏系统的安全。分为描述统计和缺省否认。
  2.基于规则分析与滥用检测
  滥用检测基于已知的系统缺陷和入侵模式,故又称特征检测。它能够准确地检测到某些特征的攻击,但却过度依赖事先定义好的安全策略,所以无法检测系统未知的攻击行为,从而产生漏警。
  滥用检测通过对确知决策规则编程实现,可以分为以下四种。
  (1)状态建模:它将入侵行为表示成许多个不同的状态。如果在观察某个可疑行为期间,所有状态都存在,则判定为恶意入侵。
  (2)专家系统:它可以在给定入侵行为描述规则的情况下,对系统的安全状态进行推理。一般情况下,专家系统的检测能力强大,灵活性也很高,但计算成本较高,通常以降低执行速度为代价。
  (3)串匹配:它通过对系统之间传输的或系统自身产生的文本进行子串匹配实现。该方法灵活性欠差,但易于理解。
  (4)基于简单规则:类似于专家系统,但相对简单些,故执行速度快。
  3.混合检测
  近几年来,混合检测日益受到人们的重视。这类检测在作出决策之前,既分析系统的正常行为,又观察可疑的入侵行为,所以判断更全面、准确、可靠。它通常根据系统的正常数据流背景来检测入侵行为,故而也有人称其为“启发式特征检测”。
  
  参考文献:
  [1]韦文思,徐津.信息安全防御技术与实施.电子工业出版社,2009.
  [2]罗守山.入侵检测.北京:北京邮电大学出版社,2004.
  [3]Intrusion Prevention Systems(IPS).2004.1.
  [4]吴灏.网络攻防技术.北京:机械工业出版社,2009.
其他文献
摘 要: 篮球运动是一项深受广大群众喜爱的体育项目。基层单位举办一次篮球比赛能否取得圆满成功,临场裁判员将起着重要作用。本文对篮球裁判员应具备的素质及其对基层篮球运动的制约,基层单位举办篮球比赛的目的及特点进行了研究,论述了如何做好基层单位篮球比赛的组织编排工作,以及临场裁判员在规则的范围内怎样利用裁判技巧,确保比赛顺利进行。  关键词: 基层单位 篮球比赛 裁判工作 素质    随着社会的日益进
以处于怀孕期的90只蒙古羊、萨福克羊和道赛特羊为研究对象,孕期注射亚硒酸钠,通过荧光分光光度法测定Se含量、原子吸收法测定Cu、Zn、Mn、Fe含量及可见光分光光度法测定GSH-
摘 要: 本文作者采用问卷调查法、专家访谈法、文献资料法等研究方法,对陕西省竞技体操运动发展现状进行系统的分析。结果发现教练员年龄结构比较合理,但学历层次偏低,职称结构不合理;教练开始注重科学训练,但是对心理训练的作用不重视;二线和三线运动员比赛较少,退役和淘汰运动员的出路问题不能有效解决;各市训练场馆少,设备不健全和陈旧且质量规格较低。  关键词: 陕西省 竞技体操 可持续发展 制约因素    
以葡萄糖为前驱物,采用水热法合成了胶态碳球,然后利用胶态碳球制备了Co3O4/CoO/Co/石墨复合材料.此复合材料与其它研究者采用类似方法制备的物质相比具有完全不同的结构,它
本课题研究了在15℃和25℃两种水温条件下,麻保沙星在鲫体内的药物动力学特征和残留消除规律。样品用内标法定量,通过液-液萃取、氮气吹干、浓缩等步骤进行前处理,麻保沙星含
本文详细地分析了选择钢丝绳时应考虑的因素。这些因素是:钢丝绳的构造、钢丝绳工作时的扭转程度、提升机的类型以及提升容器的罐道型式等。文中对各因素在选取钢绳时如何考
摘 要: 本文分析了目前测控专业实践教学中存在的问题,提出运用MCGS组态软件开发监控仿真系统,既可缓解高校实践设备投入不足的困难,又可提高学生测控系统综合开发能力。  关键词: MCGS 测控专业实践教学 水位监控    目前,PLC和机电传动控制都被大多数学校定为测控专业的必修的两门专业课,里面所设计的PLC实践教学是其重要组成部分。随着专业人数的不断增多,现有的PLC硬件资源越来越难满足学生
摘 要: 计算机专业在职业学校教学中一直占据着绝对的地位。随着计算机专业课程的改革和推进,以及课程结构项目模块化的提出,教、学、做合一的教学理念的创新,有力地促进了计算机专业课的教学,充分培养和提升了学生在学习过程中的探索能力、动手能力和解决问题的能力。  关键词: 职业教育 计算机教学 教学改革    新一轮课程改革的有序推进,课程结构项目模块化的提出,任务驱动教学方法的实施,这些宏伟的教育目标
奶牛乳房炎是奶牛场最常见且难以根治的疾病之一,严重阻碍了奶牛业的健康发展。尽管奶牛乳房炎的病因错综复杂,但是目前细菌感染仍是奶牛乳房炎的最主要致病因素。因此,本文探讨
摘 要: 计算机网络不仅给我们带来了海量的信息,而且带来了网络威胁。教师必须十分关注计算机网络安全和技术,不仅要利用网络进行教育、教学,而且要提高网络安全防范意识和技术,更要注意教育和监督青少年学生正确、合理使用计算机网络。  关键词: 教师 计算机网络安全 网络安全技术    随着社会的日益信息化,以及计算机技术的飞速发展,计算机系统、计算机网络越来越多地应用于社会生产、生活的各个方面,发挥着举